Surfing Attack : Comment des hackers peuvent-ils prendre le contrôle de Google Assistant et Siri à distance ?

CYBERSECURITE L’attaque repose sur le simple envoi de vibrations vers les téléphones pour prendre le contrôle des assistants virtuels

Jennifer Mertens pour 20 Minutes

— 

Des hackers peuvent prendre le contrôle de Google Assistant et Siri à distance
Des hackers peuvent prendre le contrôle de Google Assistant et Siri à distance — Geeko

Des chercheurs universitaires ont démontré comment des pirates informatiques pouvaient prendre le contrôle d’un smartphone en exploitant des vulnérabilités des assistants virtuels de Google et d’Apple. L’astuce est assez étrange puisqu’elle repose sur l’envoi de vibrations inaudibles par l’homme à travers le meuble sur lequel le téléphone est posé.

Dans leur rapport, les chercheurs expliquent que ce type d’attaques, baptisées Surfing Attack, « exploite les ondes guidées par ultrasons se propageant à travers des tables de matériaux solides pour attaquer les systèmes de commande vocale ». « En tirant parti des propriétés uniques de la transmission acoustiques dans les matériaux solides », poursuivent les chercheurs, il est possible de prendre le contrôle de Google Assistant et Siri sans devoir avoir le téléphone en main ou en vue.

Les hackers pourraient dès lors passer des coups de fil, envoyer des SMS, prendre des photos à l’insu des propriétaires, mais aussi détourner ses SMS de sécurité contenant des codes d’authentification.

Une découverte inquiétante

Un pirate informatique n’a qu’à déposer un petit objet qui fait des vibrations sur une table en verre, bois ou métal sur laquelle se trouve un smartphone pour lui envoyer des ondes et ainsi le pirater. Les chercheurs sont parvenus à prendre le contrôle d’iPhone (5, 5s, 6 et X), des premiers Pixel, de smartphones Xiaomi (Mi 5, Mi 8, Mi 8 lite), Galaxy S7 et S9, ainsi que du Honor View 8.

Pour les chercheurs, le SurfingAttack est particulièrement inquiétant, car l’attaque repose sur des vibrations inaudibles. Les victimes ne s’en rendent donc pas compte, à moins qu’elles ne gardent leur smartphone à proximité sur la table, face vers le haut. Dans ce cas, elles pourront voir leur téléphone s’allumer tout seul et réaliser diverses actions.

Pour se protéger de ce type d’attaques, les chercheurs proposent d’opter pour un étui en bois, de le déposer sur un tissu plutôt que directement sur une table ou de désactiver l’assistant vocal lorsque le téléphone est verrouillé. Sur Android, vous pouvez le faire en vous rendant dans les paramètres de votre compte Google, onglet Assistant, tout en bas « Téléphone », en désactivant l’option « Résultats personnalisés sur l’écran de verrouillage ».